ToptenReviews網(wǎng)站以每年評出的世界殺毒軟件排行榜而聞名，評測涵蓋了反病毒、反間諜軟件、互聯(lián)網(wǎng)安全套裝、隱私保護等項目。但是此評測在業(yè)界的可靠性和可信度并不高，不能與VB100、WCL（West Coast Labs）等專業(yè)評測機構(gòu)相提并論。

 

那么VB100、WCL這些專業(yè)而知名的評測機構(gòu)就能反映安全軟件的真實水平了么？其實也不盡然，起碼在一些安全廠商看來不是這樣的。早在2008年作為全球安全市場份額前三甲的廠商趨勢科技就對VB100的評測提出質(zhì)疑，對其評測方法嗤之以鼻，并退出了病毒評測。而前不久，趨勢科技聲稱VB100的評測方法落后。其主要原因是趨勢科技認為目前VB100的測試方法已經(jīng)與惡意程序的發(fā)展趨勢嚴重脫節(jié)，不能反映安全軟件或防護技術的真實水平。

 

這在安全業(yè)界引起了不小的風浪，一方面趨勢科技認為，像VB100這樣對Wildlist提供的病毒樣本進行靜態(tài)掃描的評測方法，根本無法真實反映云安全技術或產(chǎn)品的實際價值；另一方面VB100則認為，認證的目的在于反映殺毒軟件最基礎、最普遍的本地系統(tǒng)防護功能，言外之意沒通過VB100認證的，至少可以斷定這款殺毒軟件最基本的系統(tǒng)防護能力不足。

 

過時的傳統(tǒng)評測方法應與時俱進

 

之所以出現(xiàn)這兩種聲音，關鍵在于評測方法上。熟悉安全軟件評測的人都知道，傳統(tǒng)的測試方法主要是依靠收集的病毒樣本和正常文件，在封閉的環(huán)境中用防毒軟件掃描病毒樣本和正常文件，從而得到病毒檢測率和正常文件的誤報率。而這兩項數(shù)據(jù)在很長一段時間內(nèi)成為衡量某一款殺毒軟件防護能力的重要指標。

 

趨勢科技公司防病毒分析師谷亮認為針對目前的安全威脅，這種測試方法已經(jīng)明顯過時，不能真實地反映一款防毒軟件的優(yōu)劣。據(jù)谷亮介紹，2008年全年新增1000多萬只病毒，平均每小時新增差不多2000多只病毒，而且92%的病毒是通過互聯(lián)網(wǎng)傳播的。而由于可供測試的樣本數(shù)量有限，很難代表龐大的病毒總體，此時再用傳統(tǒng)測試方法就顯得不合適了。

 

病毒和惡意程序數(shù)量暴增，已是不爭的事實，用單一的病毒特征碼來抵御病毒，顯得太過被動。所以，業(yè)界很多廠商針對這樣的情況，也紛紛研發(fā)新的安全防護技術，比如基于URL過濾的Web信譽、黑白名單比對等技術。而這些新技術的特點就是充分利用了互聯(lián)網(wǎng)資源和云計算的優(yōu)勢，與傳統(tǒng)的病毒特征碼一起，構(gòu)建一個多層次的防御體系。但問題是，這樣的技術所衍生出來的產(chǎn)品，利用傳統(tǒng)的測試方法，是否能衡量出防毒產(chǎn)品的優(yōu)劣呢？在谷亮看來，顯然是不能的。他坦言，這也是傳統(tǒng)測試方法的弊端所在，正是因為傳統(tǒng)的測試方法無法與時俱進，不能適應防毒廠商的技術創(chuàng)新，在鑒別和評測防毒產(chǎn)品時才顯得有所缺失。

 

目前流行的測試方法

 

與傳統(tǒng)測試方法不同，據(jù)谷亮介紹，目前流行的測試方法主要是將測試環(huán)境部署到互聯(lián)網(wǎng)中，允許防毒產(chǎn)品訪問防毒廠商的服務器，使防毒產(chǎn)品可以實時地借助防毒廠商的多種后臺資源來識別病毒威脅。顯而易見，谷亮所描述的可以訪問廠商后臺服務器的測試方法，就是針對當前被炒得熱火朝天的云安全技術。對此，目前比較典型的，也是比較流行的測試方法：

 

一種是測試防毒產(chǎn)品對惡意URL的攔截能力，從數(shù)以百萬計的URL鏈接中，按照不同類別挑選出一部分惡意的URL，然后測試防毒產(chǎn)品能否攔截這些惡意的URL。當然，這種方法必須允許防毒產(chǎn)品可以訪問防毒廠商的服務器。據(jù)了解，Cascadia Labs就是利用的這種測試方法。

 

另一種是測試防毒產(chǎn)品通過云安全技術識別病毒樣本的能力，原理和上述測試惡意URL攔截能力一樣，允許防毒產(chǎn)品將病毒樣本發(fā)送到云端的服務器上做掃描。PC Security Labs主要就是利用的這種測試方法。

 

完整的安全軟件評測

 

事實上，為應對日益嚴峻的安全威脅，目前市場主流的防毒軟件都已建立了一個多層次的防御體系，所以谷亮認為一次完整的評測應該測試整個防御體系質(zhì)量。

 

一般來說，防御體系是由至少兩個防護層構(gòu)成，第一層是暴露防護層，這個防護層主要是基于威脅來源做安全防護，比如識別并攔截惡意URL，識別并攔截下載中的病毒等；第二層是感染防護層，這個防護層主要是基于文件內(nèi)容做安全防護，比如將文件發(fā)送到云端服務器做掃描，或者使用本機內(nèi)的病毒特征碼做掃描。

 

完整的評測也應該針對這兩個防護層展開測試，設置暴露防護層指標和感染防護層指標兩個指標，其中暴露防護層指標包含被攔截URL的比率，被攔截文件的比率，以及被攔截字節(jié)的比率；感染防護層包含被攔截文件的比率。這些指標能夠讓我們看到何種威脅被哪一個防護層所攔截。而總體的評測指標應該是暴露防護層指標和感染防護層指標兩個指標之和。